Microsoft: Ovi hakeri su od pokvarene lozinke došli do potpune kontrole nad mrežom

Microsoft je detaljno opisao kako jedna sofisticirana hakerska skupina može doći od provaljene lozinke za oblak do potpune kontrole nad mrežom u manje od tjedan dana.

"Svakog dana vidimo napadače kako pokreću ofenzivu protiv ciljnih organizacija putem oblaka i raznih drugih vektora napada s cilj pronalaska puta najmanjeg otpora, brzo širenje uporišta i stjecanje kontrole nad vrijednim informacijama i imovinom," Microsoftov obavještajni tim za zaštitu od prijetnji rekao je, dok su detaljno opisivali posebno sofisticiranu vrstu napada od kojeg su pratili i branili kupce.

Konkretno, Microsoftov tim identificirao je grupu koju naziva Holmium kao jednu od najučinkovitijih u korištenju vektore napada temeljene na oblaku svih onih -- uključujući organizirani kriminal i hakere koje podupire nacionalna država -- koji to staze.

VIDJETI: Popis za provjeru snage: Migracija lokalnog poslužitelja e-pošte u oblak (TechRepublic Premium)

Također poznata kao ATP33, StoneDrill i Elfin, ova skupina je uvelike povezana s Iranom i bavila se špijunažom i destruktivni napadi usmjereni na zrakoplovne, obrambene, kemijske, rudarske i petrokemijske tvrtke niz godina sada.

Microsoftovi istraživači rekli su da Holmium koristi različite načine za pristup svojim metama, uključujući spear-phishing e-pošte i pokušaja korištenja popisa dobro poznatih zaporki za provaljivanje u račune -- tehnika poznata kao 'lozinka' prskanje'.

Ali mnogi nedavni napadi Holmiuma uključivali su alat za testiranje prodora pod nazivom Ruler koji se koristio uz kompromitirane Exchange vjerodajnice. Istraživači su rekli da hakerska skupina izvodi napade temeljene na oblaku s Rulerom od 2018., s još jednim valom takvih napada u prvoj polovici 2019.

Ovi napadi obično započinju 'intenzivnim' raspršivanjem lozinki protiv izložene infrastrukture Active Directory Federation Services; organizacije koje nisu koristile autentifikaciju s više faktora imale su veći rizik od kompromitacije računa, istaknuo je Microsoft.

Naoružana s nekim Office 365 računima, grupa je zatim pokrenula sljedeći korak s Rulerom, koji im daje kontrolu nad računalom -- koje zatim hakeri mogu koristiti za daljnje istraživanje.

"Jednom kada grupa preuzme kontrolu nad krajnjom točkom (pored identiteta u oblaku), sljedeća faza bili su sati istraživanja mreže žrtve", rekao je Microsoft.

To je uključivalo pronalaženje više korisničkih računa i računala za napad na mreži.

Tim je napadima obično trebalo manje od tjedan dana od početnog pristupa putem oblaka do dobivanja "neometanog pristupa i potpunog ugrožavanja domene", rekao je Microsoft. Taj je pristup zatim omogućio napadačima da ostanu na mreži dulje vrijeme, ponekad i mjesecima.

VIDJETI: Microsoft, prestani slati bugove milijardu korisnika Windows 10. Evo kako

Tijekom ovih napada, mnoge ciljne organizacije reagirale su prekasno - na primjer kada su zlonamjerne aktivnosti počeo manifestirati na krajnjim točkama putem PowerShell naredbi i kasnijeg bočnog kretanja, istraživači upozorio.

"Ranije faze napada poput događaja u oblaku i aktivnosti raspršivanja lozinki često su promašene ili ponekad nisu bile povezane s aktivnostima promatranim na krajnjoj točki. To je rezultiralo prazninama u vidljivosti i, naknadno, nepotpunim saniranjem", rekli su istraživači, ističući da se Microsoftov paket za zaštitu od prijetnji uspio obraniti od takvih napada.

"Korporacijski podaci raspoređeni su u više aplikacija -- lokalno i u oblaku -- i pristupaju im korisnici s bilo kojeg mjesta koristeći bilo koji uređaj. Uz širenje tradicionalnih površina i nestajanje perimetra mreže, uvode se novi scenariji i tehnike napada", upozorio je Microsoft.